[TUTORIAL-PHP] Créer son propre espace membres

Bonjour à tous,

Je vous présente mon premier tutorial : Un Espace Membres n17

avec validation par email n19

.

Voici le code et les explications, mais ne faîtes pas de copier/coller, sinon vous risquerez de ne rien apprendre :

L'inscription (inscription.html) :

<html>
<head>
<title>Inscription</title> <Titre>
</head>
<body>
<form>
<label>Pseudo : </label>
<input> <Zone>

<label>Mot de Passe : </label>
<input> <Zone>

<label>Confirmez le code secret : </label>
<input> <Zone>

<label>E-M@il : </label>
<input> <Zone>

<input>
</form>
</body>
</html>

Voila la page d'inscription "brute", vous voyez c'est pas trop compliqué.
Maintenant passons au code PHP de l'inscription :

L'inscription PHP(inscription.php)

<?

include('include/configuration.php');
$pseudo = $_POST['pseudo'];
$pwd = $_POST['pwd'];
$pwd2 = $_POST['pwd2'];
$mail = $_POST['mail'];

if($pseudo == "" || $pwd == "" || $pwd2 == "" || $mail == "")
{ // Si les champs sont vides lors de l'inscription
echo '<script> alert("Un ou plusieurs champs ne sont pas remplis."); </script>';
echo '<script> document.location.href="inscription.php" </script>';
exit;
}
else if ($_POST['pwd'] != $_POST['pwd2'])
{
echo '<script> alert("Un ou plusieurs champs ne sont pas remplis."); </script>';
echo '<script> document.location.href="inscription.php" </script>';
exit;
}
else
{
$sql = "SELECT pseudo FROM membres WHERE pseudo='$_POST[pseudo]'";
$req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error());

$data = mysql_fetch_array($req);

if($data['pseudo']==$login)
{
echo '<script> alert ("Votre pseudo est déja pris");</script>';
echo '<SCRIPT>
document.location.href="inscription.php"
</SCRIPT>';
exit;
}
$sql = "SELECT mail FROM membres WHERE mail='$_POST[mail]'";
$req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error());

$data = mysql_fetch_array($req);

if($data['mail']==$mail)
{
echo '<script> alert ("Cette adresse e-mail à déjà été inscrite !");</script>';
echo '<SCRIPT>
document.location.href="inscription.php"
</SCRIPT>';
exit;
}
else
{
$requete=mysql_query("INSERT INTO membres VALUES('','$_POST[pseudo]','$_POST[pwd]','$_POST[mail]')");
echo ' <p>Votre login à été ajouté à ma base de
données, <a href="connect.php">cliquez ici</a> pour vous connecter.</p>
';
}
}
?>

Et voila, l'inscription est faîte, mais il faut les paramètres de connexion à la Base de Données MySQL :

Configuration (include/config.php) :

<?
$host=""; //nom de votre serveur MySQL
$user=""; //nom d'utilisateur
$pass=""; //mot de pass
$base=""; //nom de la base de données
$connect=mysql_connect($host,$user,$pass);
mysql_select_db($base, $connect);
?>

Passons au formulaire de connexion :

Connexion (connexion.php) :

<php>
<form>
<h4>Connexion au site</h4>
<p>
<label>Pseudo : </label><br>
<input>
</p>
<p>
<label>Code secret : </label><br>
<input>
</p>
<input>
</form>

Ensuite passons à la véritable connexion :

Connexion (connexion2.php)

</SCRIPT>

Voila et maintenant passons à la zone membres :

Zone membres (membres.php) :

</SCRIPT>
</p>
<a href="connect.php?do=deconnexion">Déconnexion</a>

Et voila c'est fini !

Bonne programmation !

PS : Si vous prenez le code dîtes bien que cela vient de moi. Merci

PS2 : J'ai fait ce code à l'arrache, donc si il y a une erreur n'hésitez pas à le dire.

ce tuto est bien,mais pouquoi utilise tu le MySQL
tu te complique la vie pour rien,^^
sinon c'est bien!

world of rpg a écrit:: ce tuto est bien,mais pouquoi utilise tu le MySQL
tu te complique la vie pour rien,^^
sinon c'est bien!

J'ai pas bien compris..Tu veux parler d'utiliser une classe(déjà crée) plutot que d'utiliser les fonctions du code ou autre chose?

Villageois (Nv 1) Nombre de messages : 2 Date d'inscription : 17/04/2009

Qu'est-ce que c'est que ça ? ><

Indente tes codes ! utilise la balise

Code:: Code

C'est très utile, en tout cas c'est l'intention qui compte mais bon là niveau sécurité c'est largement dépassé... Pour commencer les valeurs que tu réceptionnent dans des variables ne sont pas sécurisées :

$pseudo = $_POST['pseudo'] par exemple, au moment où tu vas insérer les données dans la BDD, il peut y avoir ce qu'on appelle une "Injection SQL" qui consistera à modifier la requête SQL. Pour remédier au problème, tu sécurises la variable de cette façon en ajoutant les addslashes car certains hébergeur ont des configurations différentes et ne disposent pas tous du addslashes :

Code:: $pseudo = addslashes(mysql_real_escape_string($_POST['pseudo']));

Ensuite, si tu veux afficher un message par exemple : Vous êtes bien inscrit nomdelinscrit !

Tu peux modifier le code pour éviter l'affichage HTML ou PHP grâce à la fonction htmlentities() :

Code:: $pseudo = addslashes(mysql_real_escape_string(htmlentities($_POST['pseudo'])));

Bref voilà, c'est bien gentil d'avoir posté ce code de ta part, c'est l'intention qui compte mais fais attention quand même ^^'.

Amicalement,

Numel.

Dans un peu plus d'une semaine, le dernier message de ce sujet aura 2 ans.
Etait-ce bien utile de poster ? Je l'espère, si ça sert à quelqu'un.
Sinon...

Bon, j'espère que je ne vais pas paraître agressif, ce n'est pas le ton de mon message.

Oui il y a des problèmes de sécurité, mais non, il ne faut pas sécuriser avec ça !

Code:: $pseudo = addslashes(mysql_real_escape_string($_POST['pseudo']));

utilise simplement mysql_real_escape_string avant d'entrer une donnée dans ta BDD.

A l'affichage et seulement à l'affichage utilise :

htmlspecialchars() et non htmlentities() à la limite avec un stripslashes().

Voilà le mieux en terme de sécurité et d'optimisation Wink